幫助組織控制、指導和交流其網(wǎng)絡安全風險管理活動。
安全治理和業(yè)務目標
安全和風險管理的標準方法有時會被誤解。雖然是一個有用的起點,但預先確定的安全風險管理結構、業(yè)務流程、角色和要求的建立往往與業(yè)務中其他地方使用的正常決策結構和流程分開。這種分離會導致技術決策過程中的不確定性、延遲和混亂。
優(yōu)先遵守或遵守預定義的安全治理結構,而不是尋找制定適合業(yè)務的有效風險管理決策的方法,可能會導致錯誤的控制感,從而導致錯誤的安全感。這并不是說治理活動是一件壞事。如果做得好,它會大大有助于有效的風險管理,從而有助于組織的安全。
投資風險管理,信任決策者
管理技術系統(tǒng)風險的管理方式應該與組織管理其他業(yè)務活動的方式?jīng)]有什么不同。治理一詞意味著組織積極控制其面臨的風險,并為其業(yè)務安全提供指導。有效的安全治理要求組織投資于風險管理資源和信任決策者,以便擁有合適的人員、結構和流程。這使得在追求組織的業(yè)務目標和目標時做出明智的風險管理決策成為可能。
良好的安全治理是什么樣的?
沒有“一刀切”的治理方法可以適用于每個組織。組織應該建立適合他們的安全風險管理角色和決策制定流程(記住一些組織可能必須遵守強制要求)。
無論任何預先確定的結構或流程如何,在以下情況下更有可能采用良好的組織風險管理治理方法:
組織的業(yè)務目標和優(yōu)先事項是明確的
組織關心的資產(或在實現(xiàn)其業(yè)務目標方面的價值)被清楚地確定
該組織部署了使風險管理有效所需的資源
組織明白,要使安全有效,它必須是“一切照舊”的一部分
組織確定誰對技術系統(tǒng)的安全負責(和負責)
組織在追求其業(yè)務目標時會(也不會)承擔的風險是明確的
該組織確定誰負責(和負責)做出有關技術系統(tǒng)的安全決策
組織知道如何獲取為這些安全決策提供信息所需的信息
組織確定誰負責(和負責)技術系統(tǒng)在整個系統(tǒng)生命周期中的持續(xù)安全
當組織決定適合他們的治理方法時,需考慮以下因素:
組織將如何在不同的業(yè)務、技術和決策環(huán)境中管理與技術相關的安全風險?
在管理與技術相關的安全風險(例如法律、監(jiān)管或特定行業(yè))時,哪些外部要求是相關的?
需要哪些業(yè)務流程來支持安全風險管理決策的制定?
需要哪些信息和文檔才能使決策者做出及時、知情和客觀的安全風險管理決策?
組織將如何確保負責管理風險(和制定風險管理決策)的人員擁有正確的業(yè)務和安全技能、知識和培訓?
組織如何確信其管理風險的方法是有效的,以及它用于業(yè)務的系統(tǒng)足夠安全以滿足其需求?
組織將如何確保風險管理決策和行動的可追溯性和問責制?
組織將如何對其管理安全風險的方式進行持續(xù)改進?
委派決策
有效的網(wǎng)絡安全風險管理建立在明智的決策之上。但是,組織內的高級管理層不需要做出所有風險管理決策。風險管理決策可以在組織內的所有級別進行,并委托給最能理解問題的人。決策者應該具備正確的安全、業(yè)務和技術知識(以及技能和經(jīng)驗),使他們能夠在不同的業(yè)務環(huán)境中做出有效和及時的風險管理決策。
為了使安全風險管理有效,重要的是在負責組織安全的人員與有權代表他們做出風險管理決策的人員之間建立清晰的溝通渠道。在委托決策的情況下,委托的范圍必須明確。也就是說,他們應該了解什么時候需要升級決策以獲得業(yè)務中更高級的關注。
處理復雜性和不確定性
用于提供現(xiàn)代業(yè)務能力的技術系統(tǒng)可以被視為復雜的“社會技術”系統(tǒng),在技術、人員和組織之間進行交互。這種復雜性意味著有時可以了解并管理安全風險的原因和影響,有時又無法了解。
風險管理中的不確定性是不可避免的,因為決策者和從業(yè)者為安全決策提供信息所需的信息可能不可用、未知或主觀得出。這種不確定性因以下原因而加劇:
參與風險分析、評估和決策過程的人員的偏見
方法和工具及其使用方式的局限性
這種復雜性和不確定性并不意味著組織無法管理安全風險。相反,負責做出風險決策的人需要:
了解他們使用的工具的局限性
了解在某些情況下可以通過實施預定義的安全控制和方法來管理風險,以及在某些情況下不能進行管理
在不同的環(huán)境中采用不同的策略來做出明智的安全風險管理決策
發(fā)展有效的文化和環(huán)境
有效的安全文化和環(huán)境還將幫助組織應對這種復雜性和風險管理的不確定性??梢酝ㄟ^以下方式鼓勵適當?shù)陌踩幕铜h(huán)境:
確保參與安全風險管理決策的每個人都了解實現(xiàn)目標和維護業(yè)務的優(yōu)先級比遵守通用的預定檢查表更重要
聘用具備網(wǎng)絡安全、業(yè)務和風險管理技能以及制定和實現(xiàn)有效決策所需的知識和專長的人員
信任并授權這些人做出風險管理決策
盡量減少程序和文件的工作量,只限于實現(xiàn)及時有效決策所必需的工作量
將風險管理“烘焙”成“一切照舊”,因此它被視為與其他風險管理方式一致的持續(xù)活動(而不是一次性行動)
使負責制定風險管理決策的人員能夠輕松訪問(并理解)他們需要的信息
減少該信息以任何引入不確定性和偏見的方式被誤解、削弱或闡述的機會
接受技術和安全風險將被意識到,并了解組織將采取哪些措施來最大限度地減少損害、繼續(xù)運營并根據(jù)經(jīng)驗教訓進行改進
確保以下人員之間的溝通:
a) 負責安全的人員
b) 負責制定風險管理決策的人員
c) 負責執(zhí)行風險管理活動的人員
- 清晰且有意義,以便可以正確有效地對信息采取行動
溝通風險管理信息
風險管理信息的有效溝通有助于組織指導和控制風險管理活動。為了使這種溝通有效,組織必須建立內部和外部渠道來與員工、業(yè)務合作伙伴和客戶進行溝通。組織內的溝通在組織的正確級別之間流動時最有效;自上而下、自下而上和橫向:
自上而下的溝通為決策者提供公司方向和業(yè)務目標
自下而上和橫向溝通提供詳細的技術、非技術和安全信息,以告知風險管理決策
在內部溝通時,應包括:
業(yè)務目標、優(yōu)先事項和風險管理方向
組織關心什么以及為什么
組織將(和不會)承擔哪些風險
誰負責做出風險管理決策
在與第三方進行外部溝通時,應包括:
風險管理和決策背景
什么需要保護,為什么?
如果受保護資產的安全依賴于另一方,那么組織期望該方采取什么措施來保護它?(例如合同中的安全程序或安全要求)
在第三方為組織關心的事情提供安全性的情況下,組織如何獲得第三方正在按預期提供安全性的信心?
為了以清晰且有意義的方式傳達風險管理信息,組織應使用通俗易懂的英語和眾所周知的業(yè)務、技術和安全術語。應避免使用定制的風險管理語言或專業(yè)術語。
人們通常認為,由于組織使用通用的風險評估(或風險管理)方法,因此他們將能夠使用生成的風險信息(例如風險編號、風險級別和影響級別)作為速記,將信息傳達給風險管理決策者和業(yè)務合作伙伴。如果沒有就風險管理信息的含義達成一致,這種假設是不正確的。個人和組織會根據(jù)他們的個人和群體偏見、他們的經(jīng)驗、知識和優(yōu)先事項來解釋或誤解與風險相關的信息。如果提供的風險管理信息沒有意義、解釋或上下文,則尤其如此。
與任何其他關系一樣,各方之間的信任建立在良好的溝通之上,這使雙方能夠理解彼此的價值,并就風險管理信息和風險評估輸出的具體含義達成一致。這種理解將使組織能夠信任其他人提供給他們的風險管理信息,并自信地使用技術系統(tǒng)和服務。